Inicio ' Recursos ' Artículos ' ¿Qué es la ley 25 de Quebec?

¿Qué es la Ley 25 de Quebec?

Cubierto por Termly

Por: Etienne Cussol CIPP/E, CIPM Etienne Cussol CIPP/E, CIPM | Actualizado el: 30 de octubre de 2024

Crear una política de privacidad gratuita
What-is-Quebec-Law-25-01

En 2020, los legisladores de Quebec presentaron el proyecto de ley 64. El 22 de septiembre de 2021, se aprobó como Ley 25, marcando el inicio de una clara modernización en el panorama de la privacidad en Canadá.

En esta guía, le guiaré a través de la Ley 25 de Quebec para que pueda determinar si se aplica a su empresa y qué medidas debe tomar para garantizar el cumplimiento legal.

Índice
  1. ¿Qué son la Ley 64 y la Ley 25 de Quebec?
  2. Ley de Quebec 25 Términos clave y definiciones
  3. ¿A quién se aplica la Ley 25 de Quebec?
  4. ¿A quién protege la Ley 25 de Quebec?
  5. Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2022
  6. Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2023
  7. Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2024
  8. ¿Cómo puede Termly ayudar con el cumplimiento de la privacidad de los datos?
  9. Resumen

¿Qué son la Ley 64 y la Ley 25 de Quebec?

El proyecto de ley 64 se presentó en la provincia de Quebec en un esfuerzo por modernizar la protección de la intimidad en relación con la información personal. Tras su aprobación, pasó a conocerse como Ley 25.

Crea nuevos requisitos para las empresas, incluidas nuevas consideraciones relacionadas con la protección de los datos personales de los residentes en Quebec, el nombramiento de responsables de protección de datos (DPO) y la realización de evaluaciones de impacto sobre la privacidad (PIA).

¿Cuándo entra en vigor la Ley 25 de Quebec?

El proyecto de ley 64 de Quebec se aprobó con el nombre de "Ley 25" en septiembre de 2021.

Sus disposiciones entran en vigor en un periodo escalonado de tres años. Algunas ya están en vigor desde septiembre de 2022.

Otras partes de la ley entraron en vigor el 22 de septiembre de 2023 y de nuevo en septiembre de 2024.

Ley de Quebec 25 Términos clave y definiciones

Hay algunos términos y definiciones clave descritos en la Ley 25 de Quebec que las empresas deben comprender para cumplir con las nuevas directrices de protección de la privacidad. A continuación se los explicaré brevemente.

La Ley 25 utiliza la definición de "información personal" que aparece en la Ley del Sector Privado de Quebec, que dice así:

La información personal es cualquier información relativa a una persona física que permita identificarla.

Según la Parte 15 de la Ley 25, se entiende por "incidente de confidencialidad":

  • (1) Acceso no autorizado por la ley a información personal;
  • (2) Uso no autorizado por la ley de información personal;
  • (3) Divulgación no autorizada por la ley de información personal; o
  • (4) Pérdida de información personal o cualquier otra violación de la protección de dicha información.

La Ley 25 define "elaboración de perfiles" en la Parte 19 como:

"...la recogida y uso de información personal para evaluar determinadas características de una persona física, en particular con el fin de analizar su rendimiento laboral, situación económica, salud, preferencias personales, intereses o comportamiento."

¿A quién se aplica la Ley 25 de Quebec?

La Ley 25 se aplica a las empresas y pequeñas y medianas empresas que venden bienes u ofrecen servicios en Quebec y a las empresas dirigidas a residentes en Quebec, independientemente de su ubicación.

El ámbito de aplicación material de la Ley también incluye la información personal en poder de un orden profesional, tal como se define en el Código Profesional (capítulo C-26).

La Ley 25 no se aplica al material periodístico, histórico o genealógico recogido, conservado, utilizado o comunicado para la información legítima del público.

Tampoco se aplica a un organismo público ni a la información en poder de una persona distinta del organismo público.

¿A quién protege la Ley 25 de Quebec?

La Ley 25 de Quebec protege la información personal de los ciudadanos de Quebec, CA.

También describe sus derechos sobre cómo se recopilan y utilizan esos datos.

Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2022

En septiembre de 2022 entraron en vigor las siguientes disposiciones de la Ley 25:

  • Nombramiento de un responsable de privacidad: Esta disposición obligatoria recogida en el artículo 3.1 de la Ley establece que, por defecto, la persona con la máxima autoridad será responsable del cumplimiento de la Ley 25 y de la protección de la información personal. No obstante, puede delegar por escrito estas responsabilidades total o parcialmente en otra persona.
  • Notificación de la violación a los reguladores y a los particulares: El artículo 3.5 de la Ley establece que una empresa debe notificar sin demora a la Commission d'Accès à l'Information (CAI ) en caso de un incidente de confidencialidad que presente un riesgo de perjuicio grave para las personas. Una empresa también debe notificar a cualquier persona cuya información personal se vea afectada por el incidente, según lo ordenado por la CAI. Además, si se produce un incidente de confidencialidad que afecte a información personal, una empresa debe tomar medidas razonables para reducir el riesgo de perjuicio y evitar que se produzcan nuevos incidentes de la misma naturaleza.
  • Información personal y consentimiento: La comunicación de información personal sin consentimiento es posible para un estudio, con fines de investigación, para la elaboración de estadísticas y en determinadas condiciones. Pero, según el artículo 21 de la ley, debe llevarse a cabo una evaluación del impacto sobre la privacidad o PIA (Privacy Impact Assessment).
  • Notificaciones de bases de datos biométricos: Las enmiendas promulgadas por la Ley 25 afectan a la Ley de Tecnologías de la Información de Quebec y obligan a las organizaciones a notificar al CAI cualquier uso de procesos biométricos al menos 60 días antes de crear una base de datos biométricos.

Si su empresa está acogida a la Ley 25 de Quebec, debe cumplir todas estas directrices, so pena de infringir la Ley.

Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2023

El 22 de septiembre de 2023 entraron en vigor estos requisitos adicionales establecidos por la Ley 25:

  • Publicar una política de confidencialidad (también conocida como política de privacidad): El artículo 8.2 de la Ley establece que quien recopile datos personales por medios tecnológicos debe publicar una política de confidencialidad (también conocida como política de privacidad) redactada en un lenguaje claro y directo. Debe publicarla en sus sitios web o app y difundirla por cualquier medio adecuado. También es obligatorio notificar cualquier modificación de la política.
  • Proporcionar transparencia y un mecanismo de inclusión voluntaria para las cookies y otras tecnologías de rastreo: El artículo 8.1 de la Ley establece que cualquier empresa que recopile información personal utilizando tecnología que incluya funciones que permitan identificar, localizar o elaborar perfiles de las personas debe informarles previamente del uso de dicha tecnología y de los medios disponibles para activar las funciones que permiten identificar, localizar o elaborar perfiles de la persona. Esto incluye el uso de cookies de Internet u otras tecnologías de rastreo similares.
  • Implantar un marco para la gobernanza de la información personal: El artículo 3.2 de la Ley 25 dice que las empresas deben establecer y aplicar políticas y prácticas de gobernanza relativas a la información personal que garanticen la protección de dicha información. Sus políticas y procedimientos deben, en particular, proporcionar un marco para (1) la conservación y destrucción de la información, (2) definir las funciones y responsabilidades de los miembros de su personal a lo largo del ciclo de vida de la información y (3) proporcionar un proceso para tratar las quejas relativas a la protección de la información. Además, la información sobre estas políticas y prácticas debe estar disponible en un lenguaje sencillo en el sitio web de la empresa.
  • Realizar una evaluación del impacto sobre la privacidad: Debe realizar una EIP para cualquier proyecto de adquisición, desarrollo o revisión de un sistema de información o de prestación de servicios electrónicos que implique la recogida, utilización, comunicación, conservación o destrucción de información personal. Esto figura en el artículo 3.3 de la Ley.
  • Establecer acuerdos contractuales para comunicar información personal a terceros: Según el artículo 18.3 de la Ley 25 de Quebec, una empresa puede, sin el consentimiento de la persona afectada, comunicar información personal a cualquier persona u organismo si la información es necesaria para llevar a cabo un mandato, ejecutar un contrato de empresa o para servicios encomendados a esa persona u organismo por la persona que lleva a cabo una empresa. El contrato debe hacerse por escrito y especificar las medidas que el tercero debe tomar para proteger la confidencialidad de la información personal comunicada, para garantizar que la información sólo se utiliza para ejecutar el contrato y para garantizar que el tercero no conserva los datos tras la expiración del contrato.

También se aplicaron los siguientes derechos de los consumidores:

  • Derecho de supresión y desindexación de cualquier hipervínculo vinculado al nombre de una persona(artículos 28 y 28.1)
  • Derecho de acceso y rectificación de datos personales(artículo 18.6)
  • Derecho a no ser objeto de una toma de decisiones automatizada.(Apartado 12.1)

En el caso del derecho de los consumidores a no ser objeto de decisiones automatizadas, la ley establece que una empresa que utilice datos personales para tomar una decisión basada exclusivamente en un tratamiento automatizado debe informar al interesado a más tardar cuando le comunique la decisión.

Además, la empresa debe informar al interesado de la:

  • Información personal utilizada para tomar la decisión
  • Razones, factores y parámetros utilizados en la decisión; y
  • Derecho del interesado a que se corrija la información personal utilizada en la decisión

Disposiciones de la Ley 25 que entraron en vigor en septiembre de 2024

Un aspecto adicional de la Ley 25 de Quebec entró en vigor el 22 de septiembre de 2024, y se refiere al derecho de los consumidores a la portabilidad de datos.

En concreto, las empresas tienen que seguir estas directrices, tal como se indica en la sección 27:

"Salvo que ello plantee serias dificultades prácticas, la información personal informatizada recogida del solicitante, y no creada o deducida utilizando información personal que le concierna, deberá, a petición de éste, serle comunicada en un formato tecnológico estructurado y de uso común. La información también deberá comunicarse, a petición del solicitante, a cualquier persona u organismo autorizado por la ley para recabar dicha información."

Si su empresa se ve afectada por la Ley 25 de Quebec, desarrolle un protocolo adecuado para proporcionar a los consumidores una copia portátil de sus datos personales.

¿Cómo puede Termly ayudar con el cumplimiento de la privacidad de los datos?

Termly puede ayudarle a simplificar su proceso de cumplimiento de la normativa sobre privacidad proporcionándole generadores de políticas con respaldo legal y una plataforma adaptable gestión del consentimiento ( CMP).

Nuestro Generador de política de privacidad le hace preguntas sencillas sobre su empresa. Utiliza tus respuestas para elaborar una política fácil de leer y conforme a la normativa, que puedes vincular directamente a tu sitio web o aplicación. Si alguna vez necesitas actualizarla o hacer cambios, solo tienes que volver al panel de Termly , editar la política y hacer clic en Publicar.

A continuación, vea un ejemplo de una de las preguntas que formula nuestro generador.

Termly-generador de políticas de privacidad

La legislación sobre privacidad de datos, como la Ley 25 de Quebec, establece normas específicas sobre la obtención del consentimiento del consumidor para utilizar o procesar datos personales legalmente. Por ello, también ofrecemos una plataforma gestión del consentimiento o CMP que puede configurar para cumplir las directrices de exclusión o inclusión voluntarias.

Vea su aspecto a continuación.

Termly-Ley Quebequense-25-Consentimiento-Gestión-Plataforma

Tanto si necesita cumplir la Ley 25 de Quebec como otras normativas de protección de datos, como la Ley de Protección de Datos Personales y Documentos Electrónicos(LPRPDE) o el Reglamento General de Protección de Datos (rgpd), Termly le cubre las espaldas.

Resumen

Las empresas que deban cumplir la Ley 25 de Quebec deben asegurarse de que cumplen todos los requisitos establecidos por la ley, entre ellos:

  • Publicar una política de privacidad conforme
  • Obtener el consentimiento expreso del consumidor cuando proceda
  • Realizar evaluaciones de impacto sobre la privacidad según sea necesario.
  • Nombramiento de un responsable de la protección de datos (RPD).

Recuerde también cumplir todas las obligaciones contractuales con entidades terceras que tengan acceso a los datos de sus usuarios y asegúrese de que los usuarios pueden hacer valer todos sus derechos de privacidad.

Simplifique aún más el cumplimiento de leyes como la Ley 25 de Quebec utilizando Termly's free plantilla de política de privacidad or Generator y prepare su negocio para el éxito.

Etienne Cussol CIPP/E, CIPM
Más sobre el autor

Escrito por Etienne Cussol CIPP/E, CIPM

Etienne es un profesional de la privacidad de la información y analista de cumplimiento de Termly. Lleva con nosotros desde 2021, gestionando nuestro propio cumplimiento de las leyes de protección de datos y participando en nuestros estudios de marketing. Sus campos de especialización -e interés- incluyen la protección de datos (rgpd, Directiva ePrivacy, CCPA), tecnologías de seguimiento (cookies de terceros, fingerprinting) y nuevas formas de gestión de la privacidad (GPC y el Google Privacy Sandbox). Etienne estudió Asuntos Económicos Internacionales en la Universidad de Toulouse, y se graduó con un máster en 2017. Más sobre el autor
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Cree su política de privacidad GRATIS

Cree una política de privacidad completa y gratuita en cuestión de minutos.
Crear mi política de privacidad gratuita

Artículos Relacionados

  1. Qué es la Ley de Protección de Datos de los Consumidores de Montana-01
    Ley de Protección de Datos de los Consumidores de Montana: Primer vistazo y resumen
    Artículos

    8 de enero de 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US
  2. New-Hampshire-Data-Privacy-Law-01
    Ley de privacidad de datos de New Hampshire: Primer vistazo y resumen
    Artículos

    8 de enero de 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US
  3. Ley de privacidad de datos de Nebraska-01
    Ley de Privacidad de Datos de Nebraska: Primer vistazo y resumen
    Artículos

    8 de enero de 2025
    Anokhy Desai CIPP/US, CIPT, CIPM
  4. Iowa-Consumer-Data-Protection-Act-First-Look-&-Summary-01 (Ley de protección de datos del consumidor de Iowa)
    Ley de Protección de Datos de los Consumidores de Iowa: Primer vistazo y resumen
    Artículos

    8 de enero de 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US
  5. 98-Grandes filtraciones de datos-Hack-and-Exposures-2022-Actualización
    Las 10 mayores violaciones de datos de todos los tiempos
    Artículos

    7 de enero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Modelo de política de privacidad
    Plantilla de Política de Privacidad
    Plantillas

    7 de enero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Delaware-Personal-Data-Privacy-Act-First-Look-&-Summary-01 (Ley de protección de datos personales de Delaware)
    Ley de Delaware sobre Protección de Datos Personales: Primer vistazo y resumen
    Artículos

    7 de enero de 2025
    Anokhy Desai CIPP/US, CIPT, CIPM
  8. Termly-vs-Cookiebot-01
    Termly vs. Cookiebot: Comparación de características y servicios
    Comparaciones

    7 de enero de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  9. 5-Best-rgpd-WordPress-Plugins-for-rgpd-Compliance-01
    5 mejores plugins de WordPress de rgpd para el cumplimiento de rgpd
    Artículos

    20 de diciembre de 2024
    Etienne Cussol CIPP/E, CIPM

Explore más recursos